軍工企業(yè)保密風(fēng)險(xiǎn)評(píng)估及應(yīng)對(duì)措施分析

文/劉哲 王藝歆，中國(guó)核電工程有限公司

根據(jù)軍工企業(yè)的保密管理體系現(xiàn)狀，以失泄密隱患辨識(shí)為基礎(chǔ)，以風(fēng)險(xiǎn)預(yù)控為核心，以管控人員不安全行為為重點(diǎn)，以切斷失泄密事件發(fā)生的因果鏈條為手段，筆者所在軍工企業(yè)開(kāi)展了保密風(fēng)險(xiǎn)及應(yīng)對(duì)措施分析工作，以期給其他軍工企業(yè)開(kāi)展保密隱患整治工作提供參考。

1 保密隱患分析

通過(guò)公開(kāi)報(bào)道、調(diào)研分析、保密檢查、日常工作梳理，目前軍工企業(yè)普遍存在的高風(fēng)險(xiǎn)失泄密隱患包括：

1.1 A1類：?jiǎn)挝划a(chǎn)生/機(jī)要渠道傳遞的電子/紙質(zhì)標(biāo)密文件

1）員工個(gè)人非法（手機(jī)）拍照，導(dǎo)致擴(kuò)散到互聯(lián)網(wǎng)；2）員工個(gè)人非法復(fù)制/傳真，導(dǎo)致擴(kuò)散到互聯(lián)網(wǎng)。

1.2 A2類：?jiǎn)挝划a(chǎn)生的含有敏感信息的電子/紙質(zhì)非密文件

1）密網(wǎng)非密輸出（故意/無(wú)意）用于個(gè)人使用，擴(kuò)散到非密網(wǎng)內(nèi)（電子），或者不安全情況下銷毀/丟失（紙質(zhì)）；2）在定密分解不清晰或者尚未分解情況下，非密辦公網(wǎng)非密生成（無(wú)意），擴(kuò)散到非密網(wǎng)內(nèi)。

1.3 A3類：公司產(chǎn)生的含有敏感信息的非密新聞宣傳文件

含有敏感信息的非密新聞宣傳文件，未經(jīng)審查，擴(kuò)散到互聯(lián)網(wǎng)主頁(yè)、微信公眾號(hào)、期刊報(bào)紙。

1.4 A4類：外來(lái)非密壓縮包夾雜標(biāo)密文件

1）第三方傳遞夾雜標(biāo)密文件的非密RAR壓縮包，導(dǎo)致員工互聯(lián)網(wǎng)郵箱和非密網(wǎng)電腦同時(shí)“感染”。2）第三方將夾雜標(biāo)密文件的非密RAR壓縮包，通過(guò)非密光盤(pán)形式發(fā)送過(guò)來(lái)，員工電腦光驅(qū)讀取，導(dǎo)致員工非密網(wǎng)電腦被“感染”。

2 全面風(fēng)險(xiǎn)的預(yù)控應(yīng)對(duì)分析

2.1 源頭的管控

2.1.1 針對(duì)定密分解沒(méi)有或者分解不清晰，導(dǎo)致出現(xiàn)含敏感信息非密文件的風(fēng)險(xiǎn)：

根本原因分析：逐級(jí)密級(jí)分解不細(xì)致。

應(yīng)對(duì)建議：切實(shí)落實(shí)定密審批做到一事一審、一件一審，針對(duì)公文類文件，在發(fā)文流程中加入定密審批環(huán)節(jié)；針對(duì)設(shè)計(jì)類文件，在定密分解審批表中將密級(jí)確定細(xì)化至文件級(jí)。

2.1.2 針對(duì)定密分解準(zhǔn)確，依然出現(xiàn)含敏感信息非密文件的風(fēng)險(xiǎn)

根本原因分析：審計(jì)存在把關(guān)不嚴(yán)，違規(guī)降密輸出，“避免”相對(duì)繁瑣的閉環(huán)登記管理；因沒(méi)有全文審計(jì)手段，無(wú)法實(shí)施獨(dú)立第三方審計(jì)，對(duì)部門(mén)及員工缺少監(jiān)查力度。

應(yīng)對(duì)建議：一是“連坐式”責(zé)任追究，同時(shí)追究個(gè)人及審批人責(zé)任；二是建立獨(dú)立第三方審計(jì)制度，月度審計(jì)及時(shí)糾偏。

2.1.3 針對(duì)含敏感信息新聞宣傳的風(fēng)險(xiǎn)

2.1.3.1 出現(xiàn)含敏感信息新聞宣傳的風(fēng)險(xiǎn)：

根本原因分析：審計(jì)存在把關(guān)不嚴(yán)，發(fā)布到互聯(lián)網(wǎng)主頁(yè)、微信公眾號(hào)、期刊報(bào)紙

應(yīng)對(duì)建議：嚴(yán)格執(zhí)行公司新聞宣傳保密制度。

2.1.4 針對(duì)外來(lái)非密RAR壓縮包夾雜標(biāo)密文件的風(fēng)險(xiǎn)

根本原因分析：

1)接口人未能逐一文件審查，RAR壓縮包整個(gè)在協(xié)同內(nèi)網(wǎng)分發(fā)；2)因沒(méi)有RAR壓縮包審計(jì)手段，無(wú)法實(shí)施獨(dú)立第三方審計(jì)，對(duì)員工缺少監(jiān)查力度；

應(yīng)對(duì)建議：

1)借鑒“首問(wèn)責(zé)任制”建立“首位接收人責(zé)任制”，在例行檢查或抽查中發(fā)現(xiàn)的非密RAR壓縮包夾雜標(biāo)密文件情況，將追本溯源，一并追究第一位接收文件責(zé)任人的責(zé)任。2)購(gòu)置RAR內(nèi)容審計(jì)軟件，建立獨(dú)立第三方審計(jì)制度，月度審計(jì)及時(shí)糾偏；

2.1.5 針對(duì)歷史遺留違規(guī)的電子文件的風(fēng)險(xiǎn)

根本原因分析：電子文檔系統(tǒng)、理正公函及備忘錄系統(tǒng)等存在大量“沉睡”電子文件，缺少非密網(wǎng)的自動(dòng)搜尋審計(jì)軟件，無(wú)法及時(shí)發(fā)現(xiàn)并采取對(duì)應(yīng)措施。

應(yīng)對(duì)建議：1)基于非密協(xié)同網(wǎng)實(shí)際情況，購(gòu)置適宜的全文審計(jì)軟件，建立獨(dú)立的自動(dòng)審計(jì)制度，周末或者晚上自動(dòng)搜尋審計(jì)及時(shí)糾偏；2)鼓勵(lì)全員發(fā)現(xiàn)涉嫌的圖片、掃描件、CAD圖紙等類型文件。

2.2 網(wǎng)絡(luò)渠道泄密隱患的管控

2.2.1 根本原因分析1：未嚴(yán)格執(zhí)行兩人進(jìn)出規(guī)定，導(dǎo)致無(wú)監(jiān)督下的個(gè)人不規(guī)范行為；

應(yīng)對(duì)建議1：嚴(yán)格執(zhí)行信息系統(tǒng)保密管理規(guī)定，計(jì)算機(jī)三員盡量使用堡壘機(jī)進(jìn)行系統(tǒng)維護(hù)，避免直接接觸服務(wù)器；確有必要時(shí)，須嚴(yán)格執(zhí)行兩人同時(shí)進(jìn)出。

2.2.2 根本原因分析2：入侵者（內(nèi)部員工或者訪客）刑事犯罪；

應(yīng)對(duì)建議2：除無(wú)人期間的紅外報(bào)警，增加有人值守期間的緊急呼救裝置。

2.3 非網(wǎng)絡(luò)渠道泄密隱患的管控

2.3.1 針對(duì)載體查無(wú)下落導(dǎo)致泄密隱患的管控

根本原因分析：人員未嚴(yán)格執(zhí)行載體管理制度。

應(yīng)對(duì)建議：強(qiáng)化載體“全生命周期”管理，對(duì)載體八個(gè)環(huán)節(jié)嚴(yán)格把控、閉環(huán)管理，依據(jù)“最小化”、“安全可控”原則實(shí)施載體制作、復(fù)制、收發(fā)、保存、銷毀“五集中”。

2.3.2 針對(duì)信息被手機(jī)拍照導(dǎo)致泄密隱患的管控

2.3.2.1 根本原因分析1：載體知悉人員擅自擴(kuò)大了知悉或者未妥善保管載體，讓可疑人員有可趁之機(jī)。

應(yīng)對(duì)建議1：

1)載體的傳遞分發(fā)，必須按照規(guī)定進(jìn)行或者經(jīng)授權(quán)人審批；2)全員加強(qiáng)日常保密教育，及時(shí)相互提醒妥善保管紙質(zhì)的載體。

2.3.2.2 根本原因分析2：未嚴(yán)格執(zhí)行陪同機(jī)制，導(dǎo)致無(wú)監(jiān)督下的手機(jī)擅自帶入；工作區(qū)，保密意識(shí)淡薄導(dǎo)致手機(jī)擅自帶入。

應(yīng)對(duì)建議2：

1)嚴(yán)格執(zhí)行全程陪同；2)加強(qiáng)日常保密教育，及時(shí)相互提醒，杜絕手機(jī)擅自帶入。

2.3.3 針對(duì)信息被非法復(fù)制/傳真導(dǎo)致泄密隱患的管控

2.3.3.1 根本原因分析1：載體知悉人員擅自擴(kuò)大了知悉或者未妥善保管載體，讓可疑人員有可趁之機(jī)。

應(yīng)對(duì)建議1：1)載體的傳遞分發(fā)，必須按照規(guī)定進(jìn)行或者經(jīng)授權(quán)人審批；2)全員加強(qiáng)日常保密教育，及時(shí)相互提醒妥善保管紙質(zhì)載體。

2.3.3.2 根本原因分析2：保密意識(shí)淡薄，未嚴(yán)格執(zhí)行復(fù)印審批、傳真登記制度，導(dǎo)致無(wú)監(jiān)督下的擅自非法復(fù)制/傳真。

應(yīng)對(duì)建議2：

1)嚴(yán)格執(zhí)行復(fù)印審批、傳真登記制度；2)加強(qiáng)日常保密教育，及時(shí)相互提醒，杜絕擅自非法復(fù)制/傳真。

2.3.4 針對(duì)信息被設(shè)備自動(dòng)竊取導(dǎo)致泄密隱患的管控

2.3.4.1 根本原因分析1：設(shè)備啟用檢查不到位

應(yīng)對(duì)建議1：嚴(yán)格執(zhí)行設(shè)備啟用制度，做好檢查。

2.3.4.2 根本原因分析2：保密意識(shí)淡薄，未嚴(yán)格執(zhí)行規(guī)定，擅自互聯(lián)互通。

應(yīng)對(duì)建議2：

1)加強(qiáng)保密教育，以及必要的事先檢查；2)加強(qiáng)設(shè)備使用后的審計(jì)糾偏。